Teléfonos Android podrían estar en riesgo por fallo de seguridad en procesadores Qualcomm

Cuando buscas un nuevo smartphone, es probable que lo primero en lo que te intereses sea en el precio, el diseño y las características o lo que puede hacer, y probablemente no te fijes en el chip que lleva en su interior. Sin embargo, un equipo de investigadores ha descubierto que el procesador Snapdragon de Qualcomm, uno de los más utilizados en los teléfonos Android, tiene cientos de bits de código vulnerable que pone en riesgo a millones de usuarios de Android.

Un poco de contexto: Qualcomm es un importante proveedor de procesadores para varias empresas de tecnología conocidas. En 2019, su serie de procesadores Snapdragon se podía encontrar en casi el 40% de todos los smartphones Android, incluyendo los teléfonos insignia de gama alta de compañías como Google, Samsung, Xiaomi, LG y OnePlus. Los investigadores de Check Point, una empresa de ciberseguridad, encontraron que el procesador de señal digital (DSP) en los chips Qualcomm Snapdragon tenía más de 400 piezas de código vulnerable. Las vulnerabilidades, denominadas en conjunto “Aquiles”, pueden afectar a los teléfonos de tres formas principales.

Los atacantes solo tendrían que convencer a alguien para que instale una aplicación aparentemente benigna que elude las medidas de seguridad habituales. Una vez hecho esto, un atacante podría convertir el teléfono afectado en una herramienta de espionaje. Podrían acceder a las fotos, videos, GPS y datos de ubicación de un teléfono. Los hackers también podrían grabar llamadas y encender los micrófonos del teléfono sin que el propietario lo supiera. Como alternativa, un atacante podría optar por dejar el smartphone completamente inutilizable bloqueando todos los datos almacenados en él, en lo que los investigadores describieron como un “ataque de denegación de servicio dirigido”.

Qualcomm dice que ya ha solucionado el fallo, pero eso no significa que su teléfono Android ya está seguro. Depende de los fabricantes de smartphones actualizar los dispositivos con un parche de seguridad.

Por último, los delincuentes también podrían explotar las vulnerabilidades para ocultar el malware de una manera que sería desconocida para la víctima, y de un modo que no podría eliminarlo, indica Gizmodo.

Parte de por qué se encontraron tantas vulnerabilidades es que el procesador de señal digital (DSP) es una especie de “caja negra”. Es difícil para alguien que no sea el fabricante del DSP revisar qué los hace funcionar. Eso podría verse como algo bueno, ya que los convierte en un hueso duro de roer. Por el contrario, también significa que los investigadores de seguridad no pueden probarlos fácilmente, lo que significa que probablemente cuenten con fallas de seguridad desconocidas.

Además, el DSP habilita muchas de las características innovadoras que esperamos ver en los smartphones. Eso incluye cosas como la carga rápida de la batería y varias funciones multimedia como video, captura de HD y realidad aumentada avanzada, lo que significa que el DSP es un componente súper eficiente y económico, pero en teoría también abre más vías para que los piratas informáticos controlen los dispositivos.

Check Point dice que ha revelado sus hallazgos a Qualcomm, funcionarios gubernamentales y los proveedores o fabricantes afectados. Sin embargo, la firma dijo que no publicaría los detalles de la falla de Aquiles, ya que posiblemente millones de dispositivos siguen en riesgo. Si bien Qualcomm supuestamente solucionó el problema desde entonces, eso no significa que su teléfono Android esté automáticamente seguro. Depende de los fabricantes de teléfonos implementar los parches de seguridad relevantes, lo que podría llevar algún tiempo.

Recuerda mantener tu smartphone actualizado con la última versión disponible del sistema operativo y los parches de seguridad del fabricante.

En un comunicado a CNET, Qualcomm dice que ha “trabajado diligentemente para validar el problema y poner a disposición de los fabricantes de teléfonos inteligentes las mitigaciones adecuadas”. Y aunque la compañía dijo que no había encontrado ninguna evidencia de alguien haya explotado la vulnerabilidad Aquiles, recomendó a los usuarios de Android que actualicen sus teléfonos a medida que los parches estén disponibles y solo instalen aplicaciones verificadas de las tiendas de aplicaciones oficiales.

En esta nota

• Dispositivos Móviles